Оповещение о лавинообразном процессе
Эта проблема имеет смысл из-за выдачи системами обнаружения вторжения настолько частых повторных отчетов, что это напоминает сценарий лавинообразного процесса. Шквал отчетов является процессом придания системе обнаружения вторжения новых свойств, вызванных ее перегрузкой и потопом предупреждений. Для злоумышленника подобная атака сулит ряд преимуществ. Если огневая мощь злоумышленника достаточна для превышения пропускной способности сети, то вполне возможна атака типа «отказ в обслуживании» (DoS).
Для большинства датчиков систем обнаружения вторжения критичным является условие, получившее название парадокса первого (или многократного) соответствия. Согласно ему датчик должен принять важное решение: подавать сигнал тревоги при первом же найденном соответствии характерных признаков атаки сигнатуре из базы данных сигнатур или предпринять попытку поиска дальнейших соответствий. Проблема заключается в том, что сначала злоумышленник может определить низкоприоритетную или благоприятную для него сигнатуру, записанную во многие базы данных сигнатур системы обнаружения вторжения, а затем попытаться воспроизвести ее в ходе более разрушительной атаки. В результате при настройке датчика на выдачу сигнала тревоги при первом же найденном соответствии характерных признаков атаки сигнатуре из базы данных может получиться так, что будет обнаружена менее опасная атака и пропущено действительно опасное вторжение. С другой стороны, система обнаружения вторжения при поиске многократных соответствий становится уязвимой к выдаче шкалы предупреждений об атаках. Кроме того, атакующий может сформировать такой трафик в сети, который будет содержать весь спектр сигнатур, содержащихся в базе данных сигнатур системы обнаружения вторжения, который приведет к разрушению ее датчика.
Кроме желательного для злоумышленника отказа датчика системы обнаружения вторжения, он может получить дополнительную выгоду в результате генерации чрезмерного количества предупреждений (сгенерировать более 10 000 предупреждений для него особого труда не составит), которые администратор должен будет как-то осмыслить. Выбранный для атаки компьютер может полностью потеряться среди выводимых на монитор сообщений, гудков и красных флажков, которые могут поставить в тупик кого угодно. Администратор может просто запутаться, воспринимая огромное количество различных звуковых и графических сообщений об атаках. В лучшем случае попытка идентификации реального вторжения в таких условиях будет сильно затруднена. Также не стоит забывать о психологическом воздействии на оператора, которое часто воспринимается им как тотальная атака всего Интернета на оборудование защищаемой сети. Насколько эффективной окажется система обнаружения вторжением, если подобные атаки станут обычным делом?
ТЕЛЕГРАМКанал с обзорами, анонсами новинок и книжными подборками
Книжный Вестник
Бот для удобного поиска книг (если не нашлось на сайте)
Поиск книг
Свежие любовные романы в удобных форматах
Любовные романы
Детективы и триллеры, все новинки
Детективы
Фантастика и фэнтези, все новинки
Фантастика
Отборные классические книги
Классика
ВКОНТАКТЕБиблиотека с любовными романами, которая наверняка придётся по вкусу женской части аудитории
Любовные романы
Библиотека с фантастикой и фэнтези, а также смежных жанров
Фантастика
Самые популярные книги в формате фб2
Топ фб2
книги